Step Finance 遭駭損失 2700 萬美元 SOL,STEP 代幣價格重挫
近日,知名 Solana 生態數據分析平台 Step Finance 遭遇嚴重資安事件,導致其財庫中價值約 2700 萬美元的 SOL(Solana 原生代幣)被竊取。此事件不僅引發市場對 DeFi 安全性的再度關注,也造成其原生代幣 STEP 價格在短時間內暴跌逾 30%。本文將深入剖析此次攻擊的技術細節、市場影響,以及用戶與開發者可從中汲取的教訓。
攻擊手法與技術漏洞解析
根據 Step Finance 團隊發布的初步調查報告,攻擊者利用了財庫多簽錢包(multisig wallet)中一個未經充分審查的合約漏洞,成功繞過多重簽名機制,直接提領資金。值得注意的是,該漏洞並非來自 Solana 區塊鏈本身,而是出現在 Step Finance 自行部署的治理模組中。
關鍵漏洞:惡意提案與權限擴張
攻擊者首先提交了一個看似無害的「治理提案」,內容涉及 UI 更新。然而,該提案實際上包含一段隱藏的程式碼,一旦通過,便會授予攻擊者對財庫的完整控制權。由於部分驗證者未仔細審查提案內容即進行簽署,導致惡意合約被執行。
- 漏洞根源:治理合約缺乏對提案執行範圍的嚴格限制
- 觸發條件:至少 3 名多簽成員批准提案(共需 5/9 簽名)
- 資金流向:被竊 SOL 已透過去中心化交易所迅速兌換為其他資產
市場反應與 STEP 代幣走勢
消息曝光後,STEP 代幣在數小時內從約 $0.45 暴跌至 $0.30 以下,跌幅超過 33%。儘管團隊緊急宣布暫停所有協議功能並啟動保險基金賠付程序,市場信心仍受嚴重打擊。
「我們對此次事件深感遺憾,並將全力追蹤資金流向,同時與執法單位及區塊鏈分析公司合作。」—— Step Finance 官方聲明值得留意的是,部分大型持倉地址已開始逢低承接,顯示部分投資人仍看好其長期生態價值。然而,短期內流動性與交易量明顯萎縮,反映出市場謹慎態度。
對 Solana 生態與用戶的警示
這起事件再次凸顯 DeFi 協議在「治理安全」與「合約審計」上的脆弱性。即便使用多簽錢包,若治理流程設計不當,仍可能被惡意利用。
用戶應如何自我保護?
- 審慎參與治理投票:切勿盲目簽署未經詳細閱讀的提案
- 分散資產配置:避免將大量資金集中於單一協議或錢包
- 關注官方安全公告:訂閱項目推特或 Discord 安全頻道,即時掌握風險
開發者可改進的方向
專家建議,未來協議應導入「提案沙盒測試環境」,讓驗證者能在隔離環境中模擬提案效果;同時,多簽錢包應設定更嚴格的資金提領上限與冷卻期機制。
| 事件時間軸 | 關鍵行動 |
|---|---|
| 2024 年 6 月 10 日 | 攻擊者提交惡意治理提案 |
| 2024 年 6 月 11 日 | 提案獲足夠簽名並執行,2700 萬美元 SOL 被轉移 |
| 2024 年 6 月 12 日 | Step Finance 宣布暫停服務並啟動調查 |
常見問題解答
一般用戶是否會因這次事件損失資金?
目前受影響的僅限 Step Finance 官方財庫,普通用戶存放在錢包或交易所的 STEP 或 SOL 並未直接受損。但若曾提供流動性至其協議池,建議暫時撤回以避險。
被竊的 SOL 有機會追回嗎?
由於區塊鏈交易不可逆,直接追回難度極高。不過團隊已與 Chainalysis 等鏈上追蹤公司合作,若攻擊者將資金轉入中心化交易所(需 KYC),仍有凍結可能。
STEP 代幣未來還會恢復價值嗎?
這取決於團隊後續補償方案與協議重建進度。若能快速推出修復版本並恢復用戶信任,長期仍有反彈空間,但短期波動難免。
如何確認自己是否曾參與過相關治理投票?
可透過 Solana 區塊瀏覽器(如 Solscan)查詢個人錢包是否曾對 Step Finance 的治理合約簽署交易,或查看其官方 Discord 是否有歷史投票記錄通知。
類似事件在 Solana 生態常見嗎?
近年 Solana 上大型駭客事件相對以太坊較少,但 2022–2024 年間仍發生過多次百萬美元級別的合約漏洞攻擊,凸顯新興公鏈在安全基礎建設上仍需加強。
